AWS Site-to-Site VPN Optionen für die Tunnelauthentifizierung - AWS Site-to-Site VPN
Pre-Shared-KeyPrivates Zertifikat von AWS Private Certificate Authority

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Site-to-Site VPN Optionen für die Tunnelauthentifizierung

Sie können Pre-Shared Keys oder Zertifikate verwenden, um Ihre Site-to-Site VPN Tunnelendpunkte zu authentifizieren.

Pre-Shared-Key

Ein Pre-Shared-Key ist die Standardauthentifizierungsoption.

Ein Pre-Shared Key ist eine Site-to-Site VPN Tunneloption, die Sie bei der Erstellung eines Tunnels angeben können. Site-to-Site VPN

Ein Pre-Shared-Key ist eine Zeichenfolge, die Sie bei der Konfiguration Ihres Kunden-Gateway-Geräts eingeben. Wenn Sie keine Zeichenfolge angeben, generieren wir automatisch eine für Sie. Weitere Informationen finden Sie unter AWS Site-to-Site VPN Kunden-Gateway-Geräte.

Privates Zertifikat von AWS Private Certificate Authority

Wenn Sie keine Pre-Shared Keys verwenden möchten, können Sie ein privates Zertifikat von verwenden, um Ihr Zertifikat AWS Private Certificate Authority zu authentifizieren. VPN

Sie müssen mit AWS Private Certificate Authority (AWS Private CA) ein privates Zertifikat von einer untergeordneten CA erstellen. Um die ACM untergeordnete Zertifizierungsstelle zu signieren, können Sie eine ACM Stammzertifizierungsstelle oder eine externe Zertifizierungsstelle verwenden. Für Informationen zum Erstellen eines privaten Zertifikats siehe Erstellen und Verwalten einer privaten CA im AWS Private Certificate Authority -Benutzerhandbuch.

Sie müssen eine dienstbezogene Rolle erstellen, um das Zertifikat für die AWS Seite des Site-to-Site VPN Tunnelendpunkts zu generieren und zu verwenden. Weitere Informationen finden Sie unter Dienstbezogene Rollen für Site-to-Site VPN.

Nachdem Sie das private Zertifikat generiert haben, geben Sie das Zertifikat beim Erstellen des Kunden-Gateways an und wenden es dann auf Ihr Kunden-Gateway-Gerät an.

Wenn Sie die IP-Adresse Ihres Kunden-Gateway-Geräts nicht angeben, überprüfen wir die IP-Adresse nicht. Dieser Vorgang ermöglicht es Ihnen, das Kunden-Gateway-Gerät auf eine andere IP-Adresse zu verschieben, ohne die VPN Verbindung neu konfigurieren zu müssen.

Site-to-Site VPNführt eine Überprüfung der Zertifikatskette für das Kunden-Gateway-Zertifikat durch, wenn Sie ein Zertifikat VPN erstellen. Prüft zusätzlich zu den grundlegenden CA- und Site-to-Site VPN Gültigkeitsprüfungen, ob die X.509-Erweiterungen vorhanden sind, einschließlich Authority Key Identifier, Subject Key Identifier und Basic Constraints.